まさか「パスワードを定期的に変えていれば安全」なんて思ってませんよね?ここがヘンだよ、セキュリティの常識

パスワードの定期変更って、正直なところメンドクサイですよね。これってホントに意味あるの?

» 2018年02月09日 07時00分 公開
[吉村哲樹ITmedia]

 皆さんの職場では、パスワードの定期変更ってまだやってますか? 恐らくやってますよね。しかも、嫌々やってますよね。別に隠さなくてもいいですよ、この際、素直になりましょうよ。

Photo

 「パスワードの定期変更、めっちゃウザイ!」

 はー、スッキリした。前から言いたかったんだ、これ。でも、こんなことを職場で堂々と言ったら、あっという間に情シスの怖いおじさんが飛んできて、「おう、こら、ケツの穴からマルウェア突っ込んだろか!」と激詰めされるので……まぁ、普通はされませんけどね。

 ただ、冒頭であえて「“まだ”やってます?」ときいたのには、わけがあります。実はこの“パスワードの定期変更”、昔からセキュリティ専門家の間では賛否両論があるんです。しかも、最近では、否定論の方に分があったりして。

 いや、パスワードの定期変更が「まったく無意味」というわけではないんですよ。たとえパスワードが漏れたとしても、それを変更さえしてしまえば不正利用ができなくなるわけですから。定期変更をすること自体は、本来はセキュリティ強度を上げることはあっても、下げることはないはずです。そう、本来なら。

 ここで胸に手を当てて、よーく思い出してみましょう。私たちは普段、一体どうやってパスワードを定期変更しているでしょうか? 先頭だけ大文字にする。弾かれる。末尾に数字を付加する。弾かれる。以前使っていたパスワードを試す。弾かれる。じゃあその1個前のパスワードを試す。通った。ラッキー! 3個前のパスワードなら通っちゃうんだ。いいこと分かっちゃったから、みんなに教えてあげよう!

 ……ああ、なんて人類は愚かな生き物なのでしょうか! これだけの探究心があれば、普通にランダムなパスワードを毎回振り直して覚えることだってできるでしょうに、なぜ易きに流れるのか……と神の視点から嘆いてみせても何も解決しません。ここはヒトの視点で、地べたを這いつくばって現実を直視しましょう。

 実は、めんどくさがる現場にむりやりパスワードの定期変更を強制し続けると、セキュリティが強化されるどころか、

「逆にパスワードの強度が下がっていってしまう」

というのが、人間界におけるリアルのようです。残念ながら……。

Photo

 それにそもそも、パスワードがいったん漏れちゃったら、たとえ定期的にパスワードを変更していても、次に変更するまでの間は不正利用され放題ですよね。第一、パスワードを一度盗むことに成功した“デキる”クラッカーなら、変更された後のパスワードも盗みに来るはずだし、そのときまだ気付かれてなければ、まぁ、また盗まれちゃいますよね、たぶん。

 というわけで、少なくとも“強制的な”定期変更は、メリットより副作用の方が多いのではないかという意見が専門家からも多く出ているのが実情です。というか、最近ではもう「パスワード認証自体が使えなくね?」という考え方が主流になりつつあるようで、多要素認証やら生体認証やら、パスワードに替わる認証方式の研究と実用化が急ピッチで進んでます。このあたりの事情については、後日あらためて紹介できればと。

ALTALT

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ